<!doctype html>
<html>
<head>
  <meta charset="UTF-8" />
  <title>Anan Chat</title>
  <!-- https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP -->
  <link href="/src/assets/img/icon-wx.png" rel="icon" type="image">
  <meta
    content="script-src 'self'; style-src 'self' 'unsafe-inline';img-src * data: * blob:;"
    http-equiv="Content-Security-Policy"
  />
  <!--
  <meta http-equiv="Content-Security-Policy" content="connect-src * ;script-src 'self'; style-src 'self' 'unsafe-inline'" />

  这段HTML代码是一个元数据指令，用于设置网页的内容安全策略（Content-Security-Policy，简称CSP）。
  connect-src *：允许从任何源（*表示所有源）进行网络连接。
  script-src 'self'：只允许从当前网页本身（即同源策略）加载脚本。
  style-src 'self' 'unsafe-inline'：只允许从当前网页本身和内联样式（'unsafe-inline'表示在HTML中直接写入的样式）加载样式表。

  -->
  <!--

     <meta http-equiv="Content-Security-Policy" content="script-src 'self' 'unsafe-inline';img-src * data:;" />

  script-src 'self' 'unsafe-inline'：这个策略规定了页面中脚本的来源。'self'表示只允许加载同源（相同协议、域名和端口）的脚本，
  而'unsafe-inline'表示允许在页面中内联（inline）定义的脚本执行。这种设置可以防止XSS（跨站脚本攻击）攻击，因为攻击者无法通过注入恶意脚本来执行代码。
  img-src * data:：这个策略规定了图片的来源。*表示允许从任何来源加载图片，而data:表示允许加载数据URL方式定义的图片。这种设置可以防止CSRF（跨站请求伪造）攻击，因为攻击者无法通过伪造图片请求来获取敏感信息。


  -->

  <!--    <meta http-equiv="Content-Security-Policy" content="script-src 'self' 'unsafe-inline';img-src * data:;" />-->

</head>

<body>
<div id="app"></div>
<script src="/src/main.js" type="module"></script>
</body>
</html>
